Tietoja macOS Big Sur 11.6:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Big Sur 11.6:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Big Sur 11.6
AppleMobileFileIntegrity
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan arkaluonteisia tietoja.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30811: Compartirin kanssa työskentelevä nimetön tutkija
Apple Neural Engine
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30838: Proteas Wang
CoreAudio
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30834: JunDong Xie (Ant Security Light-Year Lab)
CoreGraphics
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30928: Mickey Jin (@patch1t, Trend Micro)
CoreGraphics
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen PDF-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: Kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2021-30860: The Citizen Lab
Core Telephony
Saatavuus: macOS Big Sur
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti julkaisuhetkellä.
Kuvaus: Sarjoituksen purkamisongelma on ratkaistu parantamalla validointia.
CVE-2021-31010: Citizen Lab ja Google Project Zero
CUPS
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Kyseessä oli käyttöoikeusongelma. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.
CVE-2021-30827: nimetön tutkija
CUPS
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja root-käyttäjänä.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30828: nimetön tutkija
CUPS
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaisia tiedostoja.
Kuvaus: URI-jäsentämiseen liittyvä ongelma ratkaistiin parantamalla jäsentämistä.
CVE-2021-30829: nimetön tutkija
curl
Saatavuus: macOS Big Sur
Vaikutus: Curl saattoi mahdollisesti paljastaa arkaluonteisia sisäisiä tietoja palvelimelle selväkielistä verkkoprotokollaa käyttämällä.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla saapuvien tietojen tarkistusta.
CVE-2021-22925: Red Hat Product Security
CVMS
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30832: Mickey Jin (@patch1t, Trend Micro)
FontParser
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen dfont-tiedoston käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30841: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30842: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30843: Xingwei Lin (Ant Security Light-Year Lab)
Gatekeeper
Saatavuus: macOS Big Sur
Vaikutus: Haitallinen ohjelma saattoi ohittaa Gatekeeper-tarkistukset
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30853: Gordon Long (@ethicalhax, Box, Inc.)
Näytönohjaimen ajurit
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2021-30933: Jack Dates (RET2 Systems, Inc.)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30835: Ye Zhang (Baidu Security)
ImageIO
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30847: Mike Zhang (Pangu Lab)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30830: Zweig (Kunlun Lab)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30865: Zweig (Kunlun Lab)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2021-30857: Zweig (Kunlun Lab)
Kernel
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-2021-30859: Apple
LaunchServices
Saatavuus: macOS Big Sur
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30864: Ron Hass (@ronhass7, Perception Point), Ron Waisberg (@epsilan)
libexpat
Saatavuus: macOS Big Sur
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston
Kuvaus: Ongelma on korjattu päivittämällä expat versioon 2.4.1.
CVE-2013-0340: nimetön tutkija
Login Window
Saatavuus: macOS Big Sur
Vaikutus: Henkilö, jolla on isäntä-Macin käyttöoikeus saattaa pystyä ohittamaan lukitun macOS-kirjautumisikkunan etätyöpöydällä.
Kuvaus: Logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2021-30813: Benjamin Berger (BBetterTech LLC), Aaron Hines (AHDesigns916) ja Peter Goedtkindt (Informatique-MTF S.A.)
Model I/O
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen USD-tiedoston käsitteleminen saattoi paljastaa muistin sisällön.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30819
Preferences
Saatavuus: macOS Big Sur
Vaikutus: Appi saattoi käyttää rajoitettuja tiedostoja.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2021-30855: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020, Tencent Security Xuanwu Lab, xlab.tencent.com)
Sandbox
Saatavuus: macOS Big Sur
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2021-30925: Csaba Fitzl (@theevilbit, Offensive Security)
Sandbox
Saatavuus: macOS Big Sur
Vaikutus: Käyttäjä saattoi päästä tiedostojärjestelmän suojattuihin osiin.
Kuvaus: Käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.
CVE-2021-30850: nimetön tutkija
SMB
Saatavuus: macOS Big Sur
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30845: Peter Nguyen Vu Hoang (STAR Labs)
SMB
Saatavuus: macOS Big Sur
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30844: Peter Nguyen Vu Hoang (STAR Labs)
WebKit
Saatavuus: macOS Big Sur
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30858: nimetön tutkija
Kiitokset
APFS
Haluamme kiittää Koh M. Nakagawaa (FFRI Security, Inc.) hänen avustaan.
App Support
Haluamme kiittää avusta käyttäjiä @CodeColorist (nimetön tutkija) ja 漂亮鼠 (赛博回忆录).
CoreML
Haluamme kiittää hjy79425575:a (Trend Micro Zero Day Initiative) hänen avustaan.
CUPS
Haluamme kiittää avusta nimetöntä tutkijaa (Inc.) ja Nathan Nyeä (WhiteBeam Security).
Kernel
Haluamme kiittää avusta Anthony Steinhauseria (Googlen Safeside-projekti).
Sandbox
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
smbx
Haluamme kiittää avusta Zhongcheng Lita (CK01).
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.